iOS、MacOSのバグで重要データ漏えいの恐れ:今すぐアップデートを

最近リリースされたiOSのアップデートは、暗号化通信に関する深刻なバグを修正するものです。MacOSへの影響も、専門家が指摘しています。

apple-bug

先週金曜日、AppleはiOS6および7の緊急アップデートをリリースしました。このアップデートで修正されるバグは、今すぐアップデートを開始するだけの重みがあります。Appleによれば、この問題は、「SSL/TLSで保護されたセッションでやりとりされるデータを、特権的権限を持つ攻撃者が傍受または改ざんできる」というものです。簡単に言うと、公共のWi-Fiネットワーク(たとえば空港やカフェに設置されているもの)を使ってオンラインバンキングやGmailへのアクセスやFacebookでのチャットをしているとき、ちょっとスキルのある人が近くに居たとしたら、その人から通信内容を見られてしまう可能性があります。たとえ、セッションが暗号で守られていることを示す鍵アイコンがSafariのウィンドウに表示されていたとしても。重要なのは、このぜい弱性の影響を受けるのはWebブラウザーだけでなく、ほぼすべてのアプリケーションに及ぶという点です。Appleが緊急対応したのも当然です。

セキュリティ関係者は、このぜい弱性がどんなものか突き止めるのに週末を費やしました。技術的詳細はこちらにあります。最も重要な発見は、MacOSも影響を受けるということです。Appleからは、まだMacOSのパッチがリリースされていません。早急なリリースが待たれます。

すみやかに以下の対応を行いましょう:

–    iPhone、iPod Touch、iPadなど、iOS6および7が動作するものをすべてアップデートしてください。その際には、誰でもアクセスできる公共ネットワークは使わず、自宅のネットワークなどを使いましょう。

–    アップデートを適用するまでは、iOS搭載デバイスでオンラインバンキングなどの重要な通信は行わないようにしましょう。

–    MacOSについても同様に、アップデートがリリースされるのを待ちましょう。サードパーティによるアップデートが公開されていますが、公式ではないアップデートの適用はリスクを伴います。

–    どうしてもオンラインバンキングなどを行う必要があるなら、きちんとセキュリティ手段を施してあるネットワーク経由で、Google Chromeを使い、VPN経由のアクセスを行い、信頼できるセキュリティ製品を活用しましょう。

 ※2014年2月26日追記:現在、MacOSのアップデート(OS X 10.9.2)が入手可能となっています。今すぐ適用をお勧めします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?